Különféle fogyasztói berendezéseket tervező csapatban vesz részt, akik azzal a kihívással néznek szembe, hogy megfeleljenek a vonatkozó biztonsági szabványoknak, beleértve az európai IEC 60730 szabványokat is. A legtöbb vállalat a globális piacra szeretne termékeket tervezni, ezért a tervezőcsapat általában felelős azért, hogy megfeleljen a legszigorúbb világszintű szabványoknak minden berendezés tervezésére vonatkozóan. Természetesen bármilyen mikrokontroller (MCU) és a hozzá tartozó támogató IC fejlesztéssel kompatibilis termék használható. Azonban egyre több MCU tartalmaz hardverspecifikus funkciókat anélkül, hogy külső összetevőkre lenne szükség a megfelelőség eléréséhez. Lássuk, szüksége van-e a biztonsági megfelelésre, valamint néhány olyanra, amely az MCU megfelelőségének előkészítését szolgálja.
Pontosabban, az IEC 60730-1 szabványok a jelen specifikáció H. függelékén alapuló MCU-alapú vezérlőrendszerek használatát oldják meg. A legtöbb fogyasztói elektromos készülék, például mosógép, hűtőszekrény és hasonló termék a B osztályba tartozik. A szabvány célja annak biztosítása, hogy a rendszerhiba ne okozza az eszköz nem biztonságos működését. Például a rendszerhiba nem okozhat nem biztonságos hőmérsékletet, ami károsíthatja a kezelőt vagy tüzet okozhat.
Vegye figyelembe azt is, hogy az IEC 60730 mögött meghúzódó koncepció és az itt tárgyalt technológia a fogyasztói eszközök alkalmazásain kívül is alkalmazható. Valójában sok típusú beágyazott rendszernek (nem feltétlenül tartozik a szabályozási szabványkezelés hatálya alá) kell védekeznie a rendszerhibák ellen.
Általában MCU-alapú rendszerekben az IEC-60730 megfelelősége a firmware-hez hozzáadott alkalmazáskódtól függ. Azonban annak érdekében, hogy biztosítsák az MCU központját, a hardverfunkciók leegyszerűsíthetők a külső komponensek firmware-fejlesztésének megszüntetésével, a teljesítmény javításával és a költségek csökkentésével.
Megfelelőségi módszerek Az MCU-alapú rendszerek tervezésének három fő módja van az IEC 60730 szabványokkal összhangban. A legbonyolultabb architektúra, amely egy úgynevezett kétcsatornás, párhuzamos MCU-t és egy vezérlő áramkört használ, és összehasonlító funkcióval rendelkezik, biztosítja, hogy a két csatorna ugyanazt az eredményt adja. Ezt a módszert azonban általában túl drágának tartják a fogyasztói piac számára. Ezután úgy döntöttünk, hogy korlátozzuk a két egycsatornás módszer költségeit. A rendszert a termék gyártása során tesztelheti, hogy elkerülje a megfelelőség meghiúsítását. A múltban általában a gyártási vizsgálati módszert választották, ez a legegyszerűbb és legalacsonyabb költségű alternatíva. Napjainkban egyre több termékgyártó választja a rendszeres önteszt funkciót annak érdekében, hogy a termék ne hibásodjon meg a terepen. Ez az a megközelítés, amelyre itt fogunk összpontosítani.
A tényleges biztonsági hitelesítés a terminálberendezésen történik, de a H függelékben szereplő lehetséges hibák az MCU-ra vonatkoznak. Valójában a tartozékok tartalmazzák az MCU belső elemeinek részletes listáját, és a kapcsolódó meghibásodást rendszeres önteszten kell tesztelni, és valamilyen módon a könnyűséget. Például az önteszt regisztert a kártyán vagy a hiba programszámláló (PC) értékében kell észlelni, egybites memória hiba észlelése, és észleli a hibás megszakítási működést - beleértve a megszakítást nem, a megszakítás túl gyakran fordul elő . További elemek a kommunikációs hiba megoldására és az időzítő óra működésének helyesbítésére, a műveleti sorrend.
Példák mosógépre Most nézzük meg az MCU-t (különösen, amelyet általában digitális jelvezérlőnek (DSC) neveznek, a DSP MCU támogatja) Néhány példa a megfelelés egyszerűsítésére. Az 1. ábra a Texas Instruments (TI) DSC mosógépen alapuló tervezés blokkvázlatát mutatja. Ez a diagram a fixpontos DSC TMS320C24x sorozatra, a TMS320F282x Series DSC-vel és a TMS320F2802x / 2806x Piccolo sorozatú fixpontos és lebegőpontos DSC-re vonatkozik. Mindegyik a DSC 32 TI C2000 magokra támaszkodik, amelyek egyetlen DSP processzorban dolgozhatók fel (főleg motorvezérléssel) és rendszervezérlési feladatokra. Lehetséges, de mindenesetre az IEC-60730 C2000 DSC elemek egy külön MCU-n vannak rögzítve a rendszervezérlővel együtt a DSC-ben.
1. ábra: A DSC TI C2000 sorozat független órajelet és egyéb funkciókat biztosít, hogy leegyszerűsítse a rendszertervezést, és megfelel az IEC-60730 szabványnak.
A TI DSC számos elemet biztosít a megfelelés támogatásához. Például az IC chip oszcillátor kettős. Fő MCU és operációs rendszerek vezetése. A második alkalommal a végrehajtott önteszttől függetlenül időszakosan végzett kontrollcsoportként használható. Az IC tartalmaz továbbá egy monitor áramkört, amely felügyeli a tápfeszültséget, ami a szabványban leírt hibás működést okozhat. Ezenkívül a DSC írásvédelmi regisztert is tartalmaz.
Természetesen sok alkalmazáshoz nincs szükség a DSC által biztosított 32 bites eszközfeldolgozási képességekre. Szerencsére az MCU-gyártók az IEC-60730 szabványnak megfelelően kínálják a hagyományos 8 bites és 16 bites MCU családokat.
Freescale valós idejű megszakítás Például a Freescale támogatja ezeket a funkciókat az MC9S08AWx MCU-n, az MCU az MC9S08 8 bites család széles skálájának része. A 9S08AW MCU valós idejű megszakítási (RTI) funkciót tartalmaz, sok önteszt funkciót érhet el. A 2. ábra az RTI funkciót mutatja. Az ábra tetején a valós idejű megszakítási állapotvezérlő regiszter (The SRTISC) a következőket tartalmazza: 3 - Valós idejű megszakítási késleltetés kiválasztása (RTIS) - CPU periodikus megszakítási intervallum beállítása. A távolság 8 ms és 1.04 másodperc között változhat. Integrált megszakítás 1 kHz-es RC oszcillátorból, független a CPU órajelétől.
2. ábra: A valós idejű megszakítási funkciónak (RTI) nevezett Freescale használata megszakítási szolgáltatási program indulásakor, egy rendszer annak ellenőrzésére, hogy van-e az IEC-60730 által meghatározott hiba.
Az önteszt funkció az RTI által generált megszakítási szolgáltatási rutinban (ISR) van megvalósítva. Például az ISR minden iteráció során ellenőrizheti a PC értékét. Ha a PC változatlan marad három egymást követő iterációnál, az ISR felveheti az MCU kártyát, és megteheti az óvintézkedéseket a szoftverciklusban.
Az RTI lehetővé teszi az ISR órajel-frekvencia figyelését is. Az ISR csak egy integrációs időt használ fel, hogy időbélyeget vegyen minden megszakítási szolgáltatáson, és ellenőrizze, hogy minden egymást követő leolvasás érvényes-e. Továbbá, megvalósítva a chipen a beépített funkcionalitású belső órajel-generátorral, a teszt lehet lassú vagy gyors, vagy elvesztheti az óra CPU órajelét. Az ISR által aktivált RTI zár, és képes figyelni az órajel-vesztés-érzékelő funkció regisztereit.
A Freescale számos különböző biztonságorientált szolgáltatást támogat, beleértve a memória pontosságának ellenőrzésére szolgáló módszert is. Ezenkívül a cég támogatja a 16 bites DSC MC56Fx sorozatot is, IEC-60730-központú funkciókkal.
Az MCU-architektúra között IEC 60730 Ugyanakkor a területen a Renesas MCU-nak lehet a legkiterjedtebb architektúrája, főként azért, mert a cég egy korábbi Hitachi, Mitsubishi és NEC hagyományos MCU-t értékesít. Mikroelektronikai üzletág. A vállalat azonban nagyon következetes biztonsági megfelelési funkciókkal rendelkezik a termékportfóliójában.
A watchdog timer (WDT) kulcseleme a legtöbb esetben a biztonsági szabványok betartásának. Renesas érett 8 és 16 R8C, M16C, 8 és 16 bites 32 bites H8 család és SuperH MCU érhető el, függetlenül a CPU órajelforrásától WDT.
A Renesas továbbra is fenntartja a szilárd WDT támogatást az újabb 16 bites és 32 bites RL78 MCU család RX sorozatában. Ezenkívül a vállalat idővel további hardverfunkciókat is hozzáadott. Például az M16C CRC (Cyclic Redundancy Check) számítási blokk bevezetése, amely független a CPU működésétől. A CRC használható a kommunikációs hibák és a memória észlelésére.
Az RL78 és RX sorozat szintén támogatja a CRC-t és további funkciókat ad hozzá. Például az RL78, beleértve a RAM paritásészlelést, a memória hozzáférés-vezérlés funkciója beállítja az órafrekvenciát és a felügyeleti funkciókat. Az RX egy hasonló sorozatú öndiagnosztikai funkciót és az adatkonverter funkcióját tartalmazza.
Biztonsági tervezés Ha a következő tervezési követelményei vannak a biztonságos kilépési hibaállapot-módszer biztosítása érdekében, feltétlenül fontolja meg, hogy az MCU beszállítói hogyan feleljenek meg az IEC-60730 szabványnak. Valójában minden MCU-gyártó elfogadta az IEC-60730 irányelvet, válassza ki az MCU-t egy hardverbiztonsági megfelelőségi funkcióval, amely csökkentheti a rendszer anyagszámláját, ami költség-, teljesítmény- és teljesítményelőnyökhöz vezet. Ezenkívül az MCU-gyártók általában mintakódot biztosítanak az IEC-60730 követelményeinek kielégítésére, a kód nagymértékben felgyorsítja a végterméket, amelyet úgy terveztek, hogy biztonságosan ellenálljon a hibakódnak vagy a rendszerhardvernek.
Másik termék: